Jon*_*hon 5 java spring spring-security oauth-2.0 spring-boot
我有一个相当基本的 Spring Boot 设置,我已经安装了 Spring Security,我已经成功设置了 OAuth2 来保护我的 API。
几天前我遇到了一些麻烦,问(并回答)了一个关于达到我的/oauth/token终点的问题。我很快发现问题在于我试图在我的POST请求正文中发送我的客户端凭据,但在 Spring Security 中配置了令牌端点,以通过 HTTP 基本身份验证接受客户端凭据(client_id和secret)。
我使用 OAuth2 API 的大部分经验都涉及在POST请求正文中发送客户端凭据,我想知道是否可以将 Spring Security 配置为以相同的方式运行?
我尝试了一些不同的事情但没有成功,比如设置以下配置选项,但我觉得这可能只在配置 OAuth2 客户端时使用:
security.oauth2.client.clientAuthenticationScheme=form
这是我的授权服务器配置。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private TokenStore tokenStore;
@Autowired
private UserApprovalHandler userApprovalHandler;
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("client_id")
.secret("secret")
.authorizedGrantTypes("password", "authorization_code", "refresh_token")
.scopes("read", "write")
.accessTokenValiditySeconds(600)
.refreshTokenValiditySeconds(3600);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.tokenStore(this.tokenStore)
.userApprovalHandler(this.userApprovalHandler)
.authenticationManager(this.authenticationManager);
}
@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
security.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()")
.passwordEncoder(this.passwordEncoder);
}
}
正如 @chrylis 在评论中指出的,技巧是在配置授权服务器时使用allowFormAuthenticationForClientson 方法。AuthorizationServerSecurityConfigurer就我而言,我的AuthorizationServerConfig课堂上有这个:
@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
security.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()")
.passwordEncoder(this.passwordEncoder)
.allowFormAuthenticationForClients();
}
这将允许通过标准参数传递客户端凭据,例如在请求正文中POST(或在查询字符串中),尽管 Spring 更喜欢使用 HTTP 基本身份验证,通过将client_id和secret与冒号 ( <client_id>:<secret>) 连接起来,对结果进行 base-64 编码,为其添加前缀并将Basic其传递给Authorization标头,这样您最终会得到如下结果:
Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l
| 归档时间: |
|
| 查看次数: |
2012 次 |
| 最近记录: |